一种基于深度学习的网络安全动态预警系统

技术领域

本发明涉及网络安全防护技术领域，特别是一种基于深度学习的网络安全动态预警系统。

背景技术

随着网络技术和规模的不断发展,网络信息安全成为世界各国共同关注的焦点。传统的网络安全防御技术主要依赖规则和特征库，对于新兴的复杂网络攻击手段往往难以有效检测识别，其劣势主要表现有：一方面，针对信息泄露、篡改，系统入侵等网络违法犯罪活动缺乏高技术监管手段，不适应网络攻防技术的发展；另一方面，企业普遍存在技术和管理水平有限、网络安全防护能力薄弱，其网站服务器成为遭受攻击的“重灾区”。

现有网络攻击技术存在以下特点：随着攻击技术的不断发展、漏洞数量的日渐增多，传统的通用漏洞评估方式越来越难以精确地反映出漏洞的危险等级，主要表现为部分高危漏洞综合评分较低，同时也存在部分低危漏洞综合评分较高的现象。随着大数据分析、威胁情报等技术的发展，大量新漏洞、新攻击方式、旧漏洞的新利用方式在互联网上被快速公开。同时，新的防御手段也在对已知漏洞的利用难度和利用方式产生影响。总的来说，现有技术依然难以满足攻防双方对攻击成功率、攻击收益进行实时、精确评估的需求。

发明内容

本发明的目的是为了解决上述问题，设计了一种基于深度学习的网络安全动态预警系统。

实现上述目的本发明的技术方案为，一种基于深度学习的网络安全动态预警系统，包括数据采集模块、特征提取模块、深度学习训练模块、预警模块和反馈模块，其特征在于，

所述数据采集模块负责收集网络流量数据、安全事件信息以及相关的网络数据；

所述特征提取模块对采集的数据进行预处理，提取与安全威胁相关的特征，并将提取的特征进行关联，得到关联数学模型；

所述深度学习模块利用深度学习算法训练关联数学模型，对关联后的特征进行学习和模式识别，进而得到基于网络安全状况和关联状况的数学模型；

所述预警模块根据基于网络安全状况和关联状况的数学模型的输出结果，判断网络安全状况；

所述反馈模块负责记录已发生的网络安全事件和预警结果，对数据进行归档并形成知识库。

所述数据采集模块通过在网络的关键节点部署数据采集探针的方式实现对网络流量的实时监控，并将采集的数据传输给所述特征提取模块。

所述特征提取模块提取与安全威胁相关的特征包括：网络流量特征、时间序列数据、信息异常浏览特征、密码破译操作、信息流量分析操作和非授权的数据改变，所述特征提取模块按照被动威胁、主动威胁，故意性威胁的标准对提取的与安全威胁相关的特征进行关联。

所述特征提取模块设定关联状况为G，提取的特征为m，标识值为L，则建立与安全威胁相关的特征关联数学模型为：

G=a

其中，a

所述关联状况G根据关联数学模型中发生系数的变化输出包含与安全威胁相关的特征和标识值的字符串并将字符串传输给深度学习模块。

所述深度学习模块采用卷积神经网络或者循环神经网络对关联状况G输出的字符串进行训练得到网络安全状况Y，进而得到基于网络安全状况Y和关联状况G的数学模型：

Y = f(G, T) （2）

其中，f表示关联状况G与网络安全状况Y之间的关系，T是预警阈值，用于判断网络安全状况是否达到预警级别，

为了进一步明确模型中的变量和参数，可以将式（2）表示为以下形式：

Y =b

其中，b

所述深度学习模块输出的Y值为正值时，系统存在安全威胁，所述预警模块启动，所述深度学习模块输出的Y值为负值时，系统不存在威胁，所述预警模块不启动。

所述预警模块在收到网络安全状况Y的值为正时发出异常行为或潜在威胁的信号，并将Y值与预设的预警值进行比对，根据比对情况对异常行为或者潜在威胁进行分级，依据级别进行分类和处置。

所述反馈模块对数据进行归档并形成知识库，深度学习模块通过对历史数据的分析来不断完善和优化深度学习模型的性能。

与现有技术相比，本发明具有以下有益效果：

1、本发明利用特征提取模块将提取的特征进行关联，形成多种数据特征构成的字符串命令，从而形成网络数据多特征联动的动态监控效果，然后通过深度学习技术对多个时段的关联状况进行训练并得到基于网络安全状况和关联状况的数学模型，该数学模型能够自动识别和预警网络安全威胁，提高防御的效率；

2、本发明对网络流量等特征的实时监控以及特征关联，使得系统具备对新兴网络攻击手段的敏感度和自适应能力，进一步提高网络预警的精确性和快捷性；

3、本发明通过反馈模块的不断学习和优化，能够显著提高预警系统的性能和准确率，并且与其他网络安全基础设施集成，形成完整的网络安全防护体系。

附图说明

图1是本发明所述一种基于深度学习的网络安全动态预警系统的流程示意图；

图2是本发明所述实施例1的动态预警曲线图。

具体实施方式

下面结合附图对本发明进行具体描述，如图1所示；

一种基于深度学习的网络安全动态预警系统，包括数据采集模块、特征提取模块、深度学习训练模块、预警模块和反馈模块，数据采集模块负责收集网络流量数据、安全事件信息以及相关的网络数据；特征提取模块对采集的数据进行预处理，提取与安全威胁相关的特征，并将提取的特征进行关联，得到关联数学模型；深度学习模块利用深度学习算法训练关联数学模型，对关联后的特征进行学习和模式识别，进而得到基于网络安全状况和关联状况的数学模型；预警模块根据基于网络安全状况和关联状况的数学模型的输出结果，判断网络安全状况；反馈模块负责记录已发生的网络安全事件和预警结果，对数据进行归档并形成知识库。

数据采集模块通过在网络的关键节点部署数据采集探针的方式实现对网络流量的实时监控，并将采集的数据传输给特征提取模块。

特征提取模块提取与安全威胁相关的特征包括：网络流量特征、时间序列数据、信息异常浏览特征、密码破译操作、信息流量分析操作和非授权的数据改变，特征提取模块按照被动威胁、主动威胁，故意性威胁的标准对提取的与安全威胁相关的特征进行关联；其中，被动威胁是指：对信息的非授权泄露而未改变系统状态，如信息窃取、密码破译、信息流量分析等，此威胁不会导致对系统中所含信息的任何篡改，而且系统的操作与状态不受改变，但有用的信息可能被盗窃并被用于非法目的；主动威胁是指：对系统的状态进行故意的非授权的改变，一个非授权的用户不怀好意地改动路由选择表就是主动威胁的一个例子，与安全有关的主动威胁的例子可能是：入侵、篡改信息、充发信息、重放等；故意性威胁是指：对计算机系统的有意图、有目的的威胁，范围可从使用监视工具进行随意的检测到使用特别的系统知识进行精心的攻击。一种故意性威胁如果实现就可认为是一种攻击，人为的恶意攻击，这是计算机网络所面临的最大威胁。

特征提取模块设定关联状况为G，提取的特征为m，标识值为L，则建立与安全威胁相关的特征关联数学模型为：

G=a

其中，a

关联状况G根据关联数学模型中发生系数的变化输出包含与安全威胁相关的特征和标识值的字符串并将字符串传输给深度学习模块。

深度学习模块采用卷积神经网络或者循环神经网络对关联状况G输出的字符串进行训练得到网络安全状况Y，进而得到基于网络安全状况Y和关联状况G的数学模型：

Y = f(G, T) （2）

其中，f表示关联状况G与网络安全状况Y之间的关系，T是预警阈值，用于判断网络安全状况是否达到预警级别，

为了进一步明确模型中的变量和参数，可以将式（2）表示为以下形式：

Y =b

其中，b

式（3）中b

预警模块在收到网络安全状况Y的值为正时发出异常行为或潜在威胁的信号，并将Y值与预设的预警值进行比对，根据比对情况对异常行为或者潜在威胁进行分级，依据级别进行分类和处置。

实施例1：

如图2所示，特征提取模块提取与安全威胁相关的特征包括：网络流量特征（DATA）、时间序列数据（TSDT）、信息异常浏览特征（IEB）、密码破译操作（CD）、信息流量分析操作（ITA）和非授权的数据改变（UDC）；则建立与安全威胁相关的特征关联数学模型为：

G

G

G

G

G

由于特征关联数学模型中没有多个特征的发生时序正常而次数高于设定常规参数，因此G

Y =1x76+ 3x50 + 0.6x42 +0.3x95 + 0.5x33 - 552（3）

深度学习模块输出的Y值为负值，系统不存在威胁，预警模块不启动。

需要说明的是，特征提取模块所提取的与安全威胁相关的特征并不限于实施例1中所例举的网络流量特征（DATA）、时间序列数据（TSDT）、信息异常浏览特征（IEB）、密码破译操作（CD）、信息流量分析操作（ITA）和非授权的数据改变（UDC），工作人员可根据网络结构因素、网络协议因素、地域因素、用户因素、主机因素、单位安全政策和人员因素等条件增加特征的数量，从而提高网络动态防护的准确性和适应性，在提取的特征发生变化后，关联状况G所输出䣌字符串也会发生变换，其对应的代码也会不同，相应的阈值T也会发生相应的变化。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。